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Precede de production d'un premier identifiant isolant un utilisateur se 
connectant a un reseau telematique 

L'invention a pour objet un procede de production d'un premier 
identifiant isolant un utilisateur se connectant a un reseau telematique. Le 
domaine de l'invention est celui de I'acces, par un utilisateur, a un fournisseur 
de contenu via un fournisseur d'acces. En particulier le domaine de 
[•invention est celui des passerelles existant entre les reseaux de telephone 
cellulaire, et les reseaux de type Internet, voix, SMS, MMS, ou autres 
supports de transmission d'un contenu multimedia ou mono media. 

Un but de l'invention est de preserver la vie privee de I'utilisateur. 

Un autre but de l'invention est la preservation des basses de donnees 
clients des acteurs d'un reseau, et de limitation des activites d'analyse 

comportementale. 

Un autre but de ['invention est de contribuer a la preservation du 

secret des correspondances. 

Un autre but de l'invention est de permettre a une entite juridique 
autorisee d'identifier civilement un utilisateur. 

Un autre but de l'invention est de permettre au fournisseur de contenu 
de gerer un ou plusieurs contextes pour les utilisateurs se connectant audit 

fournisseur de contenu. 

Dans I'etat de la technique il existe plusieurs moyens pour un 
fournisseur de contenu d'identifier un utilisateur qui accede a I'un de ses 
services. Ces moyens dependent du media utilise par I'utilisateur pour 
acceder au service. On distingue principalement quatre modes d'acces, mais 
la liste n'est pas exhaustive. Un premier mode d'acces est un acces de type 
Internet. Le mode Internet se subdivise lui-meme en deux sous-modes que 
I'on peut qualifier de mode connecte et mode non connecte, Le mode 
Internet connecte est un mode de connexion utilisant un protocole de type 
HTTP (Hyper Text Transfer Protocol, ou protocole de transmission 
hypertexte) ou WTP (Wireless Transfer Protocol, ou protocole de 
transmission sans fil.). Un serveur, par exemple HTTP, est un appare,! 
communicant via un reseau, par exemple Internet, et selon le protocole 
HTTP Un tel serveur heberge des sites WEB (ou Internet) ou WAP (ou 
Internet adapte au telephone mobile). II existe aussi un mode d'acces 
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Internet non connecte via un protocole de type SMTP (Simple Mail Transfer 
Protocol, ou protocole simple de transfer! de mail), dans lequel la connexion 
consiste en fait en un echange de message electronique de type mail. 

Un autre mode d'acces est un mode d'acces par operateur qui se 

5 subdivise lui aussi en deux sous-modes. Un premier sous-mode d'acces, et 
troisieme mode d'acces, est alors un mode d'acces que 'on peut qualifier de 
non connecte via un protocole de type SMS (Short Message Service, ou 
service de message court), ou MMS (Multimedia Message Service, ou 
service de message multimedia). Un quatrieme mode d'acces est un mode 

10 par operateur connecte que Ton appelle aussi mode vocal dans lequel 
I'utilisateur accede se connecte a un serveur vocal. 

Pour les quatre modes d'acces, il existe une solution type simple qui 
consiste a realiser une interface proposant la saisie d'un identifiant et d'un 
mot de passe lors d'une connexion a un serveur. Dans la mesure ou 

15 I'utilisateur se connectant au serveur du fournisseur de contenu le fait via un 
telephone mobile, les moyens mis a la disposition de I'utilisateur, pour saisir 
Tidentifiant (ou login) et le mot de passe, sont limites par Interface utilisateur 
du telephone. Soit Tidentifiant et le mot de passe sont integralement 
numeriques, ils sont alors malaises a retenir et faciles a deviner. Soit 

20 Tidentifiant et le mot de passe sont alphanumeriques, et dans ce cas il est 
fastidieux de les saisir avec un clavier ne comportant que 9 touches. De plus 
cette etape de saisie constitue une etape supplemental pour I'utilisateur ce 
qui dissuade, dans la plupart des cas, un utilisateur de telephone mobile de 
se connecter au site proposant une interface de connexion du type identifiant 

25 et mot de passe. 

Une autre solution, dans le cas des serveurs du premier type, consiste 
a se servir d'un cookie, ou temoin. Un cookie est un petit fichier enregistre 
sur I'appareil de I'utilisateur. Lors d'une connexion a un fournisseur de 
contenu, le fournisseur de contenu peut alors acceder a ce cookie pour 

30 identifier I'utilisateur. Un probleme de cette solution reside dans le fait qu'il 
est possible de voler un cookie par des moyens electroniques ou autre, 
(.'utilisation d'un cookie n'est done pas compatible avec des imperatifs forts 
de securite. Un autre probleme reside alors dans le fait que les cookies ont 
une relativement mauvaise presse, ce qui incite les utilisateurs a les effacer. 

35 De plus I'utilisateur peut configurer Implication, ou navigateur, qu'il utilise 
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pour se connecter au fournisseur de contenu, afin que cette application 
n'accepte pas les cookies. Dans ce cas I'utilisateur se voit dans I'impossibilite 
de se connecter au serveur du fournisseur de contenu. 

Pour les troisieme et quatrieme modes d'acces, la plupart du temps le 
fournisseur de contenu a acces au numero de telephone de la personne qui 
appelle le serveur. Le fournisseur de contenu est done capable d'identifier la 
personne via ce numero de telephone. Cela ne va pas sans poser un 
probleme de protection de la vie privee. En effet, il est tout a fait legitime 
qu'un utilisateur ne souhaite pas etre identifie physiquement lorsqu'il se 
connecte a un serveur d'un fournisseur de contenu. On doit en effet pouvoir 
acquerir un bien de facon anonyme. II est alors possible d'essayer de se 
connecter en masquant son numero, mais dans ce cas il est impossible de 
facturer le service et done de se connecter effectivement. A I'heure actuelle, 
la seule solution consiste done a ne pas se connecter a ce fournisseur de 
contenu. 

Dans la description, et dans la pratique, acceder a un fournisseur de 
contenu est equivalent a se connecter a un serveur d'un fournisseur de 
contenu. 

L'invention resout ces problemes en permettant de produire un 
identifiant que I'utilisateur presente au fournisseur de contenu, cet identifiant 
ne permettant pas a un autre, que la personne ayant produit cet identifiant, 
d'identifier civilement I'utilisateur. Un tel identifiant permet bien de proteger la 
vie privee de I'utilisateur. Un tel identifiant permet bien d'identifier I'utilisateur 
via une requete produite par I'autorite legale souhaitant identifier I'utilisateur 
et comportant I'identifiant ainsi que la date a laquelle a ete produit cet 
identifiant. 

Un identifiant isolant selon l'invention requiert pour sa production au 
moins deux champs. Un premier champ est un identifiant de I'utilisateur, un 
deuxieme champ est un champ permettant d'assurer la variable de 
I'identifiant isolant. Cette variability est assuree soit par une donnee pseudo- 
aleatoire, soit par une volonte exprimee de I'utilisateur. Les premier et 
deuxieme champs sont alors combines puis transcodes de maniere a ce que 
le premier champ ne soit accessible a personne. Seul le fournisseur d'acces, 
e'est-a-dire I'entite produisant I'identifiant isolant, est capable d'inverser le 
chiffrement et done d'identifier civilement I'utilisateur. Les buts poursuivis par 
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l'invention sont done bien atteints. 

L'invention a done pour objet un procede de production d'un premier 
identifiant isolant un utilisateur se connectant a un reseau telematique via 
des moyens mis a sa disposition par un fournisseur d'acces, I'utilisateur etant 
identifie par un deuxieme identifiant par le fournisseur d'acces, caracterise en 
ce que : 

- les moyens du fournisseur d'acces comporte une passerelle pour 
associer le premier identifiant isoiant au deuxieme identifiant, 

- le premier identifiant isolant requerant pour sa production au moins 
un premier champ pour assurer I'association entre le premier identifiant et 
I'utilisateur, 

- le premier identifiant isolant requerant pour sa production un 
deuxieme champ pour assurer la variability du premier identifiant en fonction 
d'au moins un choix de I'utilisateur, 

- les premier et deuxieme champs sont transcodes. 

L'invention sera mieux comprise a la lecture de la description qui suit 
et a I'examen des figures qui I'accompagnent. Celles-ci ne sont presentees 
qu'a titre indicatif et nullement limitatif de l'invention. Les figures montrent : 

- Figure 1 : une illustration de moyens utiles a la mise en ceuvre du 
procede selon l'invention. 

- Figure 2 : une illustration d'une structure possible pour un identifiant 
isolant selon l'invention. 

- Figure 3 : une illustration d'etapes de mise en ceuvre du procede 
selon l'invention. 

La figure 1 montre un appareil 101 qu'utilise I'utilisateur pour se 
connecter a un serveur 102 d'un fournisseur de contenu. Dans la pratique 
I'appareil 101 est un telephone mobile qui est capable d'etablir une 
communication selon de multiples protocoles. Parmi ces protocoles on peut 
citer des protocoles compatibles avec Internet, avec la voix, et avec le 
protocole SMS. En d'autres termes, I'appareil 101, qui est un telephone 
mobile 101, est capable d'etablir une communication selon un mode WAP, 
selon un mode vocal, et/ou, selon un mode SMS. 

Le serveur 102 est capable de communiquer selon au moins I'un des 
protocoles precedemment cites pour le telephone 101. Le serveur 102 
comporte un microprocesseur 103 connecte a un bus 104 interne au serveur 
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102. Le bus 104 permet de connecter le microprocesseur a une memoire 105 
de programme, a une memoire 106 d'utilisateur, et a des circuits 107 
interface avec, par exemple, le reseau 108 Internet. 

La memoire 105 comporte des codes instruction qui commandent le 
microprocesseur lorsque celui-ci effectue differentes actions. En particulier, 
la memoire 105 comporte des codes instruction pour la mise en ceuvre d'au 
moins un des protocoles precedemment cites. 

La memoire 106 est, par exemple, une base de donnees. A cet effet la 
memoire 106 est decrite comme une table comportant au moins autant de 
iignes que d'utilisateurs susceptibles de se connecter, ou s'etant deja 
connectes, au serveur 102. Chaque ligne comporte un certain nombre de 
champs. Une colonne 106a correspond a un champ identifiant utilisateur. II 
s'agit la d'un identifiant selon I'invention. Lorsque le serveur 102 regoit une 
requete, cette requete comporte cet identifiant. Cela permet au serveur 102 
d'identifier I'utilisateur, et de determiner, par exemple, des preferences de 
I'utilisateur. Un ensemble de preferences s'appelle aussi un contexte. Un 
contexte comporte diverses informations permettant a I'utilisateur de 
personnaliser I'apparence, et/ou le contenu, des informations qui lui sont 
presentees par le serveur auquel I'utilisateur se connecte. 

Dans I'exemple la memoire 106 est comprise dans le serveur 102. 
Dans la pratique cette memoire/base de donnees 106 peut etre hebergee par 
un autre serveur auquel le serveur 102 peut se connecter pour acceder au 
contenu de ladite base de donnees. 

Lorsqu'un utilisateur utilise I'appareil 101 pour se connecter au serveur 
102, le telephone 101 etablit une liaison 109 hertzienne avec une station 110 
de base. La station 110 de base est elle-meme connectee, via un reseau 
111, par exemple ISDN, a une passerelle 112 d'un fournisseur d'acces 
auquel est, par exemple, abonne I'utilisateur du telephone 101. Le reseau 
111 ISDN est en fait tout ou partie d'un reseau telephonique commute. Dans 
la pratique le reseau 111 peut etre n'importe quelle solution technique 
permettant de connecter une station de base a la passerelle 112 du 
fournisseur d'acces. Un fournisseur d'acces est, par exemple, un operateur 

de telephonie mobile. 

Le fournisseur de contenu est, par exemple, une passerelle d'acces 
au reseau Internet, aussi connu sous le nom de portail Internet, un serveur 



ier depot 



6 

vccai de meteo, un serveur SMS standard. 

La passerelle 112 comporte un microprocesseur 113, connecte a un 
bus 114. A ce bus 114 sont aussi connectes des circuits 115 interface avec 
le reseau 1 1 1 , et des circuits 1 16 interface avec le reseau 108. La passerelle 
112 est done une passerelle entre les reseaux 111 et 108. 

Sur ie reseau 111, i'appareii 101, et done son utilisateur, est identifie 
par un identifiant 117 utilisateur. Sur le reseau 108, I'utilisateur de I'appareii 
101 est identifie par un identifiant 118 isolant. Un role de la passerelle 112 
est d'effectuer le lien entre I'identifiant 1 17 et I'identifiant 118 isolant. Un autre 
role, classique, de la passerelle 112 est d'assurer la conversion de protocole 
entre les protocoles utilises sur le reseau 111, et les protocoles utilises sur le 
reseau 108. L'identifiant 117 est, par exemple, le numero de telephone de 
I'utilisateur de I'appareii 101. Un tel identifiant 117 est un identifiant public qui 
permet a tous d'associer a cet identifiant 117 une personne physique. Un tel 
identifiant public est, par exemple, un numero de telephone, une adresse e- 
mail, une adresse Internet publique... Un but de I'invention est d'empecher le 
fournisseur de contenu d'identifier physiquement, e'est-a-dire civilement, les 
personnes qui se connectent au serveur 102. 

La passerelle 112 comporte une memoire 119 de programme. La 
memoire 119 comporte differentes zones comportant des codes instruction 
correspondant chacune a une tache effectuee par le microprocesseur 113. 

Parmi les zones de la memoire 119, on peut distinguer une zone 119a 
comportant des codes instruction correspondant a la production, par la 
passerelle 112, e'est-a-dire en fait par le microprocesseur 1 13, de I'identifiant 
118 isolant a partir d'au moins I'identifiant 117, et dans une mise en ceuvre 
preferee, d'un code 120 du fournisseur de contenu. 

Une zone 119b comporte des codes instruction permettant a la 
passerelle 112 de valider un identifiant 118 lorsque la passerelle 112 recoit 
une requete de la part du serveur 102. Une zone 119c comporte les codes 
instruction permettant a la passerelle 112 d'identifier un utilisateur a partir 
d'un identifiant 118 isolant. Cela est utilise pour transmettre une reponse du 
serveur 102 a I'appareii 101 par exemple. Une zone memoire 1 19d comporte 
des codes instruction permettant de determiner un modificateur d'identifiant a 
partir d'un identifiant 120 d'un fournisseur de contenu. Une zone 119e 
comporte des codes instruction permettant d'effectuer un chiffrement. De 
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preference il s'agit d'un chiffrement symetrique. 

La passerelle 112 comporte une memoire 121 permettant d'associer 
un identifiant d'un fournisseur de contenu a un code pour ce fournisseur de 
contenu, et a une nature d'un identifiant isolant a produire. 

5 La figure 2 illustre une structure possible pour un identifiant isolant 

selon I'invention. La figure 2 montre un identifiant 200 isolant requerant 
quatre champs. Pour la suite de la description on utilise le verbe comporter 
pour associer des champs a un identifiant. Cependant il ne s'agit pas 
forcement d'une simple juxtaposition de valeurs. Ces valeurs peuvent aussi 

10 etre combinees entre elle selon un precede reversible par le fourn.sseur 
d'acces. 

Un premier champ 201 correspond a ('identifiant 117 identifiant 
I'utilisateur de I'appareil 101 sur le reseau 111. Le champ 201 permet au 
fournisseur d'acces d'identif.er civilement un utilisateur. Dans le cas, par 
15 exemple, d'un operateur de telephonie mobile, le champ 201 comporte les 
chiffres utiles d'un numero de telephonie mobile, mais aussi eventuellement 
un identifiant 205 de contrat permettant de rattacher le numero de telephone 
a I'utilisateur. La non-utilisation d'un numero de contrat est possible mais 
risque de provoquer des confusions si le numero de telephone est attribue a 
20 un autre utilisateur. Ce numero de contrat est utile en cas de nouvelle 
attribution du numero de telephone a un autre utilisateur. Un tel numero de 
contrat est, par exemple, un compteur du nombre d'attribution du numero de 
telephonie. Un deuxieme champ 202 correspond a un moyen de fa.re vaner 
Hdentifiant 200 isolant en fonction, soit d'un desiderata de I'utilisateur, sort 
25 d'un code de fournisseur de contenu. Les champs 202 et 201 sont combines 
et/ou transcodes grace aux codes instruction de la zone 119e. Le 
transcodage est de preference un chiffrement symetrique. Un transcodage 
peut aussi etre realise par substitution a partir d'une table, ou a partir d'une 
sequence de nombres, d'une fonction de hachage. Pour la suite nous 
30 employons I'exemple du chiffrement, mais il peut s'agir de n'importe quel 
type de transcodage reversible. Un identifiant isolant est alors le resultat de 
cette combinaison - transcodage, e'est-a-dire une sequence de bits 
inintelligible pour un autre que le fournisseur d'acces. Par inintelligible on 
comprend impossible a rattacher a une identite civile. 
35 Dans une variante, I'identifiant 200 isolant comporte un champ 203 
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permettant d'identifier le fournisseur d'acces ayant produit i'identifiant, et un 
champ 204 permettant, par exemple de coder une version, et/ou nature, pour 
I'identifiant 200 isolant. L'identifiant 200 isolant est utilise com me identifiant 
118 isolant lors des communications entre la passerelle 112 et le serveur 
102. C'est i'identifiant 118 isolant qui est enregistre dans la colonne 106a de 
la memoire 106 d'utiiisateur du serveur 102. Dans cette variante un 
identifiant isolant est alors la juxtaposition des champs 203, 204 et du 
resultat de la combinaison - transcodage du paragraphe precedent. II y a 
done une partie inintelligible, car transcodee, par le fournisseur de contenu et 
une partie intelligible car non transcodee. 

La figure 3 montre des etapes d'un scenario dans lequel le procede 
selon I'invention est mis en oeuvre. 

La figure 3 montre une etape 301 dans laquelle le telephone 101 emet 
une requete a destination du fournisseur 102 de contenu. Cette requete 
comporte un identifiant 117 d'utiiisateur, un identifiant 120 de fournisseur de 
contenu, et un champ 122 comportant la requete elle-meme. Une telle 
requete est, par exemple, une requete GET ou "prendre", au format tel que 
defini par le protocole HTTP. A noter que puisque I'appareil 101 est un 
telephone mobile, il s'agit alors du protocole WTP. La requete produite et 
emise a I'etape 301 est recue dans une etape 302 par la passerelle 112. 
Dans I'etape 302 le microprocesseur 113 extrait de la requete I'identifiant 120 
de fournisseur de contenu. II parcourt alors la table 121 a la recherche de cet 
identifiant de fournisseur de contenu. Une fois qu'il a trouve I'identifiant de 
fournisseur de contenu, le microprocesseur 113 est capable de determiner 
un code pour ce fournisseur de contenu ainsi qu'une nature d'identifiant. Si 
I'identifiant du fournisseur de contenu n'apparaTt pas dans la table 121, alors 
le microprocesseur 1 1 3 adopte un comportement par defaut. Dans I'exemple 
on admet que le comportement par defaut consiste a produire un identifiant 
isolant de session. 

L'identifiant 120 est, dans un exemple prefere, une adresse au format 
IPV4 (Internet Protocol Version 4, pour protocole Internet version 4). II peut 
aussi s'agir d'un numero de telephone d'un serveur vocal ou SMS. II peut 
aussi s'agir d'une adresse Internet au format IPV6 (Internet Protocol Version 
6, pour protocole Internet version 6) ou d'une URL pour Universal Resource 
Locator ou Localisation Universelle d'une Ressource, d'une adresse e-mail... 
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Si I'identifiant 120 de fournisseur de contenu correspond, dans la table 
121 a une nature d'identifiant isolant de session on passe a une etape 303 
de production d'un identifiant isolant de session. Sinon on passe a une etape 
304 de production d'un identifiant isolant de contexte. 

Qu'il s'agisse d'un identifiant isolant de session ou de contexte, ils ont 
tous les deux la meme structure qui est celle decrite pour la figure 2. Ce qui 
differencie un identifiant de session d'un identifiant de contexte est le 
contenu du champ 202. Dans le cas de I'identifiant de session le champ 202 
comporte une donnee pseudo-aleatoire. Une telle donnee pseudo-aleato.re 
est par exemple le nombre de secondes ecoulees depuis le 1 er janv.er 1970 
a OhOO Une telle donnee pseudo-aleatoire peut aussi etre n'importe que! 
nombre genere par un generateur de nombres pseudo-aleatoires init.al.se, 
par exemple, par I'heure a laquelle a ete produit I'alea. D'une man.ere 
generale la donnee pseudo-aleatoire est un nombre aleatoire. 

Dans I'etape 304 le champ 202 correspond au code de fourn.sseur de 
contenu lu dans la memoire 121 a I'etape 302. 

Le champ 204 permet, par exemple, de coder la nature de I'ident.fiant. 
Le champ 204 a done une valeur quand il s'agit d'un identifiant isolant de 
session et une autre valeur lorsqu'il s'agit d'un identifiant isolant de contexte. 
20 Lorsque la valeur du champ 202 est determinee, le microprocesseur 1 1 3 est 
en mesure de produire un identifiant isolant selon I'invent.on. Le 
microprocesseur 113 chiffre I'ensemble forme par le champ 202 et le champ 
201 Puis le microprocesseur 113 associe le resultat du chiffrement a un 
identifiant 203 de I'operateur gerant la passerelle 102, et a la nature 204 de 
I'identifiant isolant. On obtient ainsi I'identifiant 118 isolant. On remarque que 
la taille de I'identifiant isolant peut etre differente de la taille de I'ident.fiant 
1 17 On rappelle que les champs 203 et 204 sont optionnels. 

Une fois I'identifiant 1 18 isolant produit, on passe a une etape 305 de 
production et Remission d'une requete a destination du serveur 102. La 
requete produite a I'etape 305 comporte un identifiant isolant 118, un 
identifiant de fournisseur de contenu 120 et un champ 123 de requete. Dans 
la pratique les champs 120 et 123 sont identiques aux champs 120 et 122. 
Dans notre exemple, la requete produite a I'etape 305 est au format HTTP. 
Dans ce cas le champ 120 est alors une adresse IP de destination. Dans la 
35 pratique la requete produite a I'etape 305 par la passerelle 112 est a un 
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format (voix, SMS, !P...) compatible avec le serveur que cherche a joindre 
i'utilisateur du telephone 101 . 

Le champ 118 identifiant isolant est un champ au format decrit par la 
figure 2. L'identifiant 118 isolant comporte done un champ identifiant 
I'operateur ayant produit l'identifiant isolant, un champ permettant de coder la 
nature de l'identifiant isclant seion qu'il est de session ou de contexte, et un 
champ chiffre. Le champ chiffre une fois dechiffre comporte deux champs. 
Ces deux champs correspondent aux champs 202 et 201. Le fournisseur de 
contenu est incapable de realiser le dechiffrement et done d'acceder aux 

champs 201 et 202. 

Apres avoir emis la requete on passe a une etape 306 de reception de 
la requete emise a Petape 305 par le serveur 102. Dans I'etape 306 le 
serveur 102 a done acces aux champs 118 et 123. Le champ 118 lui permet 
de consulter la table 106 a la recherche d'un certain nombre d'informations 
sur I'utilisateur se connectant au serveur 102. Dans la pratique s'il s'agit d'un 
identifiant isolant de session il y a peu de chances que la table 106 comporte 
des informations sur I'utilisateur. En effet un identifiant de session variant a 
chaque session, un meme utilisateur ne se connectera pas deux fois au 
serveur 102 avec le meme identifiant isolant de session. Pour cette 
description on entend par session une duree temporelle limitee a, par 
exemple, un quart d'heure. La duree de la session est aisement mesurable 
car un identifiant isolant de session selon I'invention comporte, par exemple, 
une information de date de creation, ou d'expiration. 

Un identifiant de contexte peut avoir une duree de vie beaucoup plus 
longue, par exemple de six mois a dix-huit mois, voire plus. La duree de vie 
d'un identifiant de contexte est geree, par exemple, par le cle utilise pour 
effectuer le chiffrement qui change a la frequence de la duree de vie d'un 
identifiant de contexte. La duree de vie d'un identifiant de contexte peut aussi 
etre geree par le contenu du champ 202 qui change a la frequence de la 
duree de vie d'un identifiant de contexte. Dans une variante utilisant le 
champ 204, un identifiant isolant de contexte est done type par le champ 204 
et a une date de creation. Un identifiant de contexte a alors une duree de vie 
exprimee, par exemple, en mois ou annees. 

Le choix de la duree de vie, et de son mode de gestion, revient a 
I'entite ayant la charge de la passerelle 112. Le fait que la duree de vie soit 
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garantie permet a un fournisseur de contenu d'associer des informations, 
aussi appele contexte, a cet identifiant isolant. 

Parmi les actions possibles a I'etape 306 le serveur 102 peut produire 
et emettre une requete de service vers la passerelle 112 a partir de 
I'identifiant 118, c'est I'etape 307, il peut enregistrer des informations dans la 
table 106, c'est I'etape 308, et il peut produire et emettre une reponse a la 
requete de I'utilisateur du telephone 101, c'est I'etape 309. 

Lorsque le serveur 102 produit une reponse a la requete emise a 
I'etape 305 il constitue une trame de reponse comportant un champ 118 
identifiant un utilisateur, un champ 120 comportant un identifiant du serveur 
effectual la reponse, et un champ 123 qui comporte alors la reponse a la 
requete. Cette reponse est adressee a la passerelle 112. Dans une etape 
310, la passerelle 112 recoit la reponse a la requete emise a I'etape 301. La 
passerelle 112 effectue alors un transcodage entre les identifiants 1 18 et 1 17 
pour transmettre la reponse du serveur 102 au telephone 101. On passe 
alors a une etape 311 de reception par I'appareil 101 de la reponse a la 
requete qu'il a emise a I'etape 301. 

Dans I'etape 310 le transcodage d'identifiant peut s'accompagner 
d'une verification de la validite de I'identifiant. Cette verification s'effectue, par 
exemple, apres avoir dechiffre la partie chiffree de I'identifiant 118 isolant et 
ainsi recupere la valeur du champ 202. La validation depend alors de la 
nature de I'identifiant. S'il s'agit d'un identifiant de session, le champ 202 
correspond a une date. On compare alors cette date a la date a laquelle a 
ete re?ue la reponse. Si la difference entre ces deux dates est superieure a 
un delai predefini, par exemple un quart d'heure, alors la requete est 
consideree comme non valable et ne sera pas retransmise vers I'appareil 
101. 

S'il s'agit d'un identifiant de contexte, on compare alors le contenu du 
champ 202 au contenu du champ code dans la table 121 pour la ligne 
correspondant a I'identifiant 120. S'il y a adequation la requete est valable, 
sinon la requete est rejetee. 

Dans I'etape 307 le serveur 102 emet une requete de service a 
destination du serveur 112. Cette requete comporte un identifiant isolant 
d'utilisateur, un identifiant de fournisseur de contenus, et un champ de 
requete. Une telle requete peut porter, par exemple, sur une demande 
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(^identification d'un utiiisateur, une demande de localisation d'un utiiisateur, 
une demande d'envoi d'un message vers un abonne/utilisateur, ou une 
demands d'informations sur la nature de I'appareil utilise par I'utilisateur pour 
se connecter au serveur 102. Cette liste n'est pas exhaustive. Le serveur 112 
5 regoit a i'etape 312 la requete de demande de service. Dans I'etape 312 la 
passerelle 112 commence par verifier la validite de I'identifiant isolant. Cette 
verification se fait comme precedemment decrit. Si i'identifiant n'est pas 
valide, on passe a une etape 319 de fin dans laquelle la passerelle 112 ne 
donne pas suite a la requete de service, sinon on passe a une etape 314 de 

10 reponse a la requete de service. 

Dans une variante de I'invention la table 121 comporte en plus, pour 
chaque fournisseur de contenu, une liste des services auxquels peut 
pretendre le fournisseur de contenu. Dans i'etape 313 la passerelle 112 
verifie alors que le fournisseur de contenu emettant la requete a bien le droit 

15 d'emettre cette requete, c'est-a-dire de pretendre a ce service. Si c'est le cas, 
la passerelle 112 produit une reponse a cette requete service et transmet la 
reponse au serveur 102. Sinon il n'y a pas de reponse a la requete de 
service. 

Dans une etape 314 le serveur 102 regoit la reponse a la requete de 

20 service. Cette reponse permet au serveur 102 de mettre a jour la table 106 
ou de produire la reponse de I'etape 309. En effet on peut envisager que la 
requete emise a I'etape 301 ait ete une requete pour connaTtre la liste des 
restaurants proches de I'endroit ou se trouve I'utilisateur. Dans ce cas le 
serveur 102 a besoin de connaTtre la localisation de I'utilisateur, le serveur 

25 102 emet done une requete de localisation vers la passerelle 112. La 
reponse de cette localisation permet au serveur 102 d'envoyer la reponse 
appropriee a I'utilisateur de Pappareil 101. 

Grace a un identifiant selon I'invention le serveur 102 peut aussi, dans 
une etape 315, emettre une requete entrante a destination de I'appareil 101. 

30 Cette requete entrante est alors regue dans une etape 316 par la passerelle 
112. Cette requete entrante est soumise a la verification de I'identifiant 118. 
Cette verification est identique aux verifications decrites pour les etapes 310 
et 312 et 313. C'est-a-dire, il faut que le fournisseur de contenu identifie par 
le champ 120 soit habilite a emettre une requete entrante et qu'en plus 

35 I'identifiant 118 soit valide. Si I'identifiant n'est pas valide, on passe a une 
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etape 319 de fin dans laquelle aucune suite n'est donnee a la requete 
entrante emise par le serveur 102. 

Si I'etape 316 revele que la requete entrante emise a I'etape 315 est 
valide alors la passerelle 112 transcode I'identifiant 118 isolant vers un 
identifiant 117 et transmet la requete entrante transcodee au telephone 101. 
Dans une etape 317 le telephone 101 recoit et traite cette requete entrante. 
Une telle requete entrante est, par exemple, une mise a jour d'une base de 
donnees dans I'appareil 101. Une telle base de donnees peut, par exemple, 
concerner des contacts que I'utilisateur de I'appareil 101 souhaite conserver, 
ou une liste de serveurs auxquels I'appareil 101 peut se connecter pour 
acceder a differents services. 

L'algorithme de chiffrement utilise pour chiffrer les champs 202 et 201 
est de preference l'algorithme DES (Data Encryption System, pour systeme 
de chiffrement de donnees), ou 3DES. II peut s'agir de sa version de 
chiffrement par bloc, ou de sa version de chiffrement par chaTnage de bloc. 
La version de chiffrement par chaTnage de bloc permet d'assurer que toutes 
les parties chiffrees de I'identifiant 200 seront differentes grace au champ 
202 variable. Dans des variantes de I'invention on peut utiliser d'autres 
algorithmes de chiffrement comme par exemple AES (Advanced Encryption 
System, pour systeme de chiffrement avance). 

Un avantage de I'invention, et des identifiants isolants de contexte 
qu'elle definit, est que cela permet d'avoir, pour un utilisateur, un identifiant 
de contexte different par fournisseur de contenu. II est ainsi impossible a un 
fournisseur de contenu de recouper ses bases de donnees avec celles 
d'autres fournisseurs de contenu pour pouvoir mieux connaitre la vie privee 
d'un utilisateur identifies par I'identifiant. II est aussi impossible a un 
fournisseur de contenu de piller la base de donnees d'un fournisseur d'acces 
car le fournisseur de contenu n'a aucune certitude sur I'identite civile de 
I'utilisateur, ni sur le fait qu'un meme utilisateur se connecte toujours avec le 
meme identifiant isolant. On obtient done ainsi une protection maximale de la 
vie privee de I'utilisateur. 

On satisfait aussi aux exigences legales puisqu'il est possible, a partir 
d'un identifiant et uniquement pour I'operateur ayant produit cet identifiant, de 
remonter jusqu'a I'utilisateur physique avec la cooperation du fournisseur 
d'acces. 
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Un utilisateur peut choisir qu'il se connectera toujours en utifisant un 
identifiant de session. Ainsi, lors de deux connexions raisonnablement 
espacees dans !e temps, I'utilisateur ayant fait ce choix se connectera a un 
meme site en presentant deux identifiants isolants differents. Le fournisseur 
5 de contenu n'a alors aucun moyen de determiner que c'est le meme 
utilisateur qui s'est connecter deux fois. 

Un utilisateur peut choisir d'avoir recours a un identifiant de contexte. 
Dans ce cas la passerelle 112 produira un identifiant isolant de contexte lors 
des connexions de I'utilisateur ayant fait ce choix. Le fournisseur de contenu 
10 pourra alors adapter ses reponses en fonctions des informations qu'il est 
capable de rattacher a I'identifiant isolant de contexte. 

Le choix de i'utilisateur est gere, sur la passerelle 112, via une table 
associant un identifiant utilisateur, du type de I'identifiant 117, a un choix de 
I'utilisateur. 

15 ^invention est totalement transposable si on considere un utilisateur 

qui utilise un ordinateur individuel pour se connecter a un fournisseur de 
contenu via un fournisseur d'acces a Internet (ou FAI). Dans ce cas le mode 
de connexion de Tordinateur individuel a la passerelle est hertzien (GSM, 
UMTS...), cable (reseau telephonique commute...), ou autre. 

20 ^invention presente aussi Tavantage de dispenser I'entite gerant les 

identifiants isolants d'avoir a stacker ces identifiants isolants. Eh effet, 
comme ces identifiants sont calcules a partir de donnees facilement 
accessibles au moment du calcul, il n'est nul besoin de les stocker. 

Enfin, un identifiant isolant selon ('invention est aussi bien transports 

25 dans le champ NDS d'une norme de telephonie que dans une trame d f un 
protocole quelconque utilise sur le reseau Internet. Un identifiant isolant 
selon invention est done universe! et permet, entre autres, a un utilisateur 
de se connecter a differents types de serveurs d'un meme fournisseur de 
contenu en utilisant le meme identifiant isolant de contexte. Cela simplifie 

30 grandement la tache des fournisseurs de contenu qui peuvent unifier leur 
gestion de contexte independamment du type de serveur. 
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REVENDICATIONS 

1 - Procede de production d'un premier identifiant (118, 200) isolant 
un utilisateur se connectant a un reseau telematique via des moyens mis a 
sa disposition par un fournisseur (1 12) d'acces, I'utilisateur etant identifie par 
un deuxieme (117) identifiant par le fournisseur d'acces, caracterise en ce 
que : 

- les moyens du fournisseur d'acces comporte une passerelle (112) 
pour associer le premier identifiant isolant au deuxieme identifiant, 

- le premier identifiant isolant requerant pour sa production au moins 
un premier (201) champ pour assurer I'association entre le premier identifiant 
et I'utilisateur, 

- le premier identifiant isolant requerant pour sa production un 
deuxieme champ (202) pour assurer la variability du premier identifiant en 
fonction d'au moins un choix de I'utilisateur, 

- les premier et deuxieme champs sont transcodes. 

2 - Procede selon la revendication 1, caracterise en ce que le premier 
champ comporte le deuxieme identifiant. 

3 - Procede selon I'une des revendications 1 ou 2, caracterise en ce 
que le contenu du deuxieme champ depend (121, 302-305) d'un fournisseur 
de contenu que souhaite atteindre I'utilisateur via le reseau telematique. 

4 - Procede selon I'une des revendications 1 a 3, caracterise en ce 
que le contenu du deuxieme champ depend d'un contrat existant entre 
I'utilisateur et le fournisseur d'acces (302-305). 

5 - Procede selon I'une des revendications 1 ou 2, caracterise en ce 
que le contenu du deuxieme champ est une donnee (303) pseudo-aleatoire. 

6 - Procede selon la revendication 5, caracterise en ce que la donnee 

pseudo-aleatoire est une date. 

7 - Procede selon la revendication 5, caracterise en ce que I'alea est 
constant, pour la passerelle, pendant une periode predetermine. 

8 - Procede selon I'une des revendications 1 a 7, caracterise en ce 
que le procede de chiffrement est un procede de chiffrement symetrique par 
bloc. 

9 - Procede selon I'une des revendications 1 a 8, caracterise en ce 
que le procede de chiffrement est un procede de chiffrement symetrique 
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utilisant un chaTnage de bloc. 

10 - Procede selon Tune des revendications 1 a 9, caracterise en ce 
que le premier identifiant comporte un troisieme champ (204) pour contenir la 
nature de I'identifiant. 

11 - Procede selon Tune des revendications 1 a 9, caracterise en ce 
que ?e premier identifiant comporte un quatrieme champ (203) pour identifier 
le fournisseur d'acces. 

12 - Procede, selon Tune des revendications 10 ou 11, caracterise en 
ce que ie troisieme et/ou le quatrieme champ ne sont pas chiffres. 

13 - Procede selon Tune des revendications 1 a 12, caracterise en ce 
que le premier champ comporte un identifiant (205) de contrat liant 
I'utilisateur au fournisseur d'acces. 
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